Linux—远程访问及控制—ssh服务原理与实操

最新推荐文章于 2023-08-25 16:05:07 发布

唐门中单申请出战

最新推荐文章于 2023-08-25 16:05:07 发布

阅读量263

点赞数

分类专栏： Linux网络文章标签： linux 计算机网络

本文链接：https://blog.csdn.net/qq_48191100/article/details/109478276

版权

Linux网络专栏收录该内容

8 篇文章 0 订阅

订阅专栏

前言

大多数企业服务器是通过远程登录的方式来进行管理的
当需要从一个工作站管理数以百计的服务器主机时，远程维护的方式将更占优势

一、SSH 远程管理

1.1 配置Open SSH服务端

1.1.1 SSH协议

对数据通信进行加密处理
为客户机提供安全的shell环境，用于远程管理
默认端口：TCP 22

1.1.2 OpenSSH服务

服务名称：sshd
服务端主程序：/usr/sbin/sshd
服务端配置文件：/etc/ssh/sshd_config
ssh_config：针对客户端
sshd_config：针对服务端

访问形式	端口号
SSH：密文访问默认端口	TCP：22，一般广域网
Telnet：明文形式的访问	TCP 23，一般局域网
远程桌面	3389，图形化界面

名称	作用
mstsc（cmd命令提示符输入mstsc，根据提示操作）	微软中远程桌面的形式，只可一个用户一个终端登录，可复制文件，微软对微软
VNC	跨终端远程软件
teanviewer	远程访问软件

1.1.3 服务监听选项

端口号，协议版本，监听IP地址
禁用反向解析

[root@localhost ~]# vim /etc/ssh/sshd_config
...
#Port 22		'端口号可以修改'
#AddressFamily any
#ListenAddress 0.0.0.0	'监听地址可修改'
#ListenAddress ::

1.1.4 用户登录控制

禁止root用户，空密码用户
登录时间，重试次数
AllowUsers（白名单，仅允许，只有这些可以登录）
DenyUsers（黑名单，仅拒绝，只有这些不行）
AllowUsers不可与DenyUsers同时使用

[root@localhost ~]# vim /etc/ssh/sshd_config
LoginGraceTime 2m
PermitRootLogin yes
StrictModes yes
MaxAuthTries 6
MaxSessions 10
...
AllowUsers lisi admin@192.168.20.30	'仅允许lisi用户在终端192.168.20.30登录'

1.1.5 登陆验证方式

登录验证对象
- 服务器中的本地用户账号
登录验证方式
- 密码验证：核对用户名，密码是否匹配
- 密钥对验证：核对客户的私钥，服务端公钥是否匹配
密钥对：包含公钥，私钥
- 公钥：服务器使用
- 私钥：客户保留
- 非对称秘钥：RSA
- 对称秘钥：3DES,AES

[root@localhost ~]# vim /etc/ssh/sshd_config
PasswordAuthentication yes		'是否使用密码'
PermitEmptyPasswords no	'禁止空密码'
PasswordAuthentication yes	'是否需要密码验证'
    
PubkeyAuthentication yes	'开启公钥验证'

AuthorizedKeysFile      .ssh/authorized_keys  '指定公钥库位置'

1.2 SSH客户端程序命令

1.2.1 ssh命令–远程安全登录

命令基本格式

ssh user@host

[root@55~]# ssh root@192.168.197.142		'以root用户登录对方主机'
The authenticity of host '192.168.197.142 (192.168.197.142)' can't be established.
ECDSA key fingerprint is SHA256:Eer6tAEbaZylH0v8F1nr+ShthK1rjZl3eRi7UTw4RX4.
ECDSA key fingerprint is MD5:de:d7:cf:23:bd:8d:a1:02:ff:23:a2:4b:94:fe:e7:02.
Are you sure you want to continue connecting (yes/no)? yes	'输入yes'
Warning: Permanently added '192.168.197.142' (ECDSA) to the list of known hosts.
root@192.168.197.142's password: 	输入对方密码'
Last login: Thu Nov 21 17:37:59 2019 from 192.168.197.1
[root@66~]# 
    还有会开启 /etc/pam.d/su服务模块的情况，需要注意权限

1.2.2 scp命令–远程安全复制

命令基本格式

格式一：scp user@host：file 1 file 2
格式二：scp file 1 user@host：file 2

[root@55 ~]# scp /etc/hosts root@192.168.197.142:/etc/hosts	'将本机文件/etc/hosts以root权限复制到192.168.197.142中'
root@192.168.197.142's password: 
hosts

或者

[root@55 ~]# scp root@192.168.197.142:/etc/hosts /etc/hosts1
root@192.168.197.142's password: 
hosts

1.2.3 sftp命令–安全FTP上下载

命令基本格式

sftp user@host
    get：下载
    put：上传

[root@55 ~]# sftp root@192.168.197.142
root@192.168.197.142's password: 
Connected to 192.168.197.142.
sftp> ls

1.3 密钥对验证的SSH体系

1.3.1 构建密钥对验证的SSH体系

实现过程
创建密钥对（由客户端的用户lisi在本地创建密钥对）
- 公钥文件：id_rsa
- 公钥文件：id_rsa.pub

在客户机中创建密钥对
ssh-keygen命令
可用的加密算法：RSA或DSA
[root@55 ~]# ssh-keygen -t ecdsa	'生成公共/私有ecdsa密钥对'
Generating public/private ecdsa key pair.
Enter file in which to save the key (/root/.ssh/id_ecdsa): 	'输入保存秘钥的文件'
Enter passphrase (empty for no passphrase): 	'输入密码'
Enter same passphrase again: 
Your identification has been saved in .2
Your public key has been saved in .pub.
The key fingerprint is:
SHA256:R/ubZAgOklPma+jgqYqQdeIsz7xMnJyCMZZEqj2idu8 root@55
The key's randomart image is:
+---[ECDSA 256]---+
| .               |
|o                |
|..    o   .      |
|o..  =   . .     |
|=o= = o S o      |
|+@ * + + o o     |
|B.X.. o . . +    |
|+X.+..     o o   |
|=.O.oE      o    |
+----[SHA256]-----+

上传公钥文件 id_rsa.pub
- 任何方式均可（共享，FTP，Email，SCP，…）

例如
[root@55 ~]# scp ~/.ssh/id_ecdsa.pub root@172.16.16.22:/tmp

导入公钥信息（导入到服务端用户66的公钥数据库）
- 将公钥文本添加到目标用户的公钥库
- 默认公钥库文件：~/.ssh/authorized_keys
使用密钥对验证方式（以服务端用户66的身份进行登录）
- 客户端使用秘钥对验证登录
- 验证用户：服务端用户66
- 验证密码：客户端的用户55的私钥短语
第二步和第三步可以采用另外一种方法

ssh-copy-id -i 公钥文件 user@host

验证密码后，会将公钥自动添加到目标主机user宿主目录下的.ssh/quthorized_keys文件结尾

[root@55 ~]#ssh-copy-id -i ~/.ssh/id_rsa.pub 66@172.16.16.22

二、TCP Wrappers控制

2.1 TCP Wrappers概述

2.1.1 原理

2.1.2 保护机制的实现方式

方式一
- 通过tcpd主程序对其他服务程序进行包装
方式二
- 由凄然服务程序调用libwrap.so.*链接库

2.1.3 访问控制策略的配置文件

ldd `which sshd` 查看模块

/etc/hosts.allow
/etc/hosts.deny

2.2 TCP Wrappers访问策略

2.2.1：设置访问控制策略

策略格式
服务列表：客户机地址列表
- 服务列表
  - 多个服务以逗号分隔，ALL表示所有服务
- 客户机地址列表
  - 多个地址以逗号分隔，ALL表示所有服务
  - 允许使用通配符*和？
  - 网段地址，如192.168.1 或者 192.168.1.0/255.255.255.0
  - 区域地址，如.benet.com

2.2.2 策略的应用程序

先检查hosts.allow，找到匹配则允许访问
否则再检查hosts.deny，找到则拒绝访问
若两个文件中均无匹配策略，则默认允许访问

2.2.3 策略应用实例

仅允许从以下地址访问sshd服务
主机192.168.100.100
网段192.168.200.0/24
禁止其他所有地址访问受保护的服务

[root@55 ~]# vim /etc/hosts.allow
sshd：192.168.100.100,192.168.200.*
[root@55 ~]# vim /etc/hosts.deny
sshd：ALL
    
    '优先读取allow，然后再读取deny'
    '如果做黑名单，name白名单就不用写'